EU-Richtlinie Bund will mehr IT-Sicherheit in der Wirtschaft
Das Bundeskabinett hat ein Gesetz für mehr IT-Sicherheit auf den Weg gebracht. Knapp 30.000 Unternehmen sind davon betroffen. Sie müssen ordentlich in ihre Ausstattung investieren.
Viele Unternehmen müssen künftig ihre IT-Sicherheit deutlich aufrüsten. Das sieht zumindest ein Gesetzesentwurf vor, den das Bundeskabinett heute verabschiedet hat und nun dem Bundestag zur Beratung vorlegt. Die betroffenen Firmen müssen zum Beispiel ihr Personal besser schulen und werden zu hohem Login-Schutz verpflichtet - der Entwurf schreibt eine Multi-Faktor-Authentifizierung vor. Diese und viele weitere Pflichten treffen deutschlandweit knapp 30.000 Unternehmen. Für sie bedeutet das: Große Investitionen werden nötig. Die Bundesregierung rechnet für die Wirtschaft mit Kosten von insgesamt rund 2,2 Milliarden Euro, jedes Jahr.
Wirtschaftliche Schäden durch Cyberangriffe
Deutschland muss so ein Gesetz erlassen, weil die EU das mit der sogenannten NIS2-Richtlinie vorschreibt. "Wir stärken mit dem Gesetz die Resilienz der Wirtschaft gegen Cybergefahren", so Bundesinnenministerin Nancy Faeser (SPD) in einer Pressemitteilung des Ministeriums. Auch die Bundesverwaltung verpflichtet der Gesetzesentwurf zu mehr IT-Schutzmaßnahmen. Beides sei erforderlich, da sich die IT-Sicherheitslage in Deutschland und Europa zuletzt zugespitzt habe. Cyberangriffe hätten zuletzt wirtschaftliche Schäden von jährlich über 200 Milliarden Euro verursacht, heißt es in dem Entwurf. Zumindest ein Teil der Angriffe könnte unterbunden werden, wenn die Wirtschaft ihre IT-Sicherheitsstandards hochfährt.
Von dem Gesetz sind daher nicht nur Betreiber von kritischer Infrastruktur betroffen - wie etwa viele Wasser- oder Stromversorger. Es gilt auch für andere mittlere und größere Unternehmen. Dazu zählen Firmen aus bestimmten Branchen wie zum Beispiel dem Gesundheitswesen oder der Chemie-Industrie, mit mehr als fünfzig Mitarbeitern oder einem Jahresumsatz von über zehn Millionen Euro. Auch Betriebe, die nur IT zuliefern, sind betroffen.
Geschäftsführung soll haften
Ein wichtiger Baustein des Entwurfs: Die Geschäftsführungen aller betroffener Unternehmen sollen künftig persönlich haften, wenn sie in ihren Unternehmen nicht für ausreichend IT-Sicherheit sorgen. Sie müssen etwa Konzepte gegen Cyberangriffe entwickeln lassen und Daten ausreichend sichern - "Backup-Management" heißt das. "Geschäftsleiter müssen über eigenes Know-How verfügen", fasst Dennis-Kenji Kipker von der Universität Bremen zusammen. Das übe Druck aus. Denn Geschäftsführer, die das nicht machen, droht im schlimmsten Fall sogar ein Verbot, das Unternehmen weiterzuführen. Der IT-Rechtler Kipker begrüßt das: "Cybersicherheit ist in zahllosen Bereichen der deutschen Industrie nach wie vor Neuland."
Mehr Befugnisse soll es für die zentrale Behörde im IT-Sicherheitsbereich, das Bundesamt für Sicherheit in der Informationstechnik (BSI), geben. Unternehmen müssen sich beim BSI registrieren und über Vorfälle künftig umfangreicher berichten. Bei Verstößen gegen die Schutzvorgaben kann das BSI auch schneller eingreifen und strenger sanktionieren. Nach dem Plan der Bundesregierung zählen dazu etwa saftige Bußgelder: Bei bestimmten Verstößen besonders wichtiger und großer Unternehmen kann das Bußgeld bis zu zwei Prozent des Jahresumsatzes betragen. Das sind schnell Summen von mehreren Millionen Euro.
Kritik am Gesetzentwurf
Schon jetzt gibt es deutliche Kritik am Gesetzentwurf: Dessen Entstehung sei intransparent gewesen - immer wieder wurden Arbeitsschritte erst bekannt, weil sie durchgestochen wurden. Das Ergebnis jetzt sei lediglich der bestmögliche Kompromiss, sagt der Bremer Rechtswissenschaftler Dennis-Kenji Kipker. Er kritisiert etwa, dass die Behörde - das BSI - zwar mit mehr Aufgaben und Befugnissen ausgestattet wird, gleichzeitig aber nicht politisch unabhängiger werde. Stattdessen bleibt es weiter stark in die Struktur des Bundesinnenministeriums eingegliedert.
Ein weiterer Kritikpunkt: Der Gesetzesentwurf bleibt an entscheidenden Stellen unkonkret, was es für die betroffenen Unternehmen unnötig erschwert. Es sei zum Beispiel unklar, welche zusätzlichen Maßnahmen die Betreiber kritischer Infrastruktur ergreifen müssen - also etwa die Wasser- und Stromversorger, sagt Rechtsanwalt Karsten Bartels vom Bundesverband IT Sicherheit (TeleTrustT).
Der Entwurf sehe zwar vor, dass solche Unternehmen zu höheren Schutzmaßnahmen verpflichtet werden dürfen als weniger gefährdete Unternehmen. Was das genau heißt, bleibe hingegen offen. "Die Unternehmen brauchen aber konkrete Regeln", sagt Bartels. "Wenn das Gesetz am Ende so verabschiedet wird, ist es direkt überarbeitungsbedürftig", so Bartels weiter.
Herausforderung für kleine Firmen
Ähnlich zurückhaltend reagieren die Unternehmerverbände. Sie begrüßen zwar, wenn in der breiten Industrielandschaft die IT-Sicherheit verstärkt wird und dies künftig gesetzlich vorgegeben ist. "Das ist aber in wirtschaftlich herausfordernden Zeiten nicht immer leicht zu stemmen", so Paul Ruland vom Bundesverband mittelständische Wirtschaft (BVMW). Der Deutsche Mittelstands-Bund (DMB) sieht vor allem bei kleinen und mittelständischen Unternehmen großen Nachholbedarf. Der Verband kritisiert aber einen politisch "überambitionierten und kaum realistisch umsetzbaren Zeitplan." Unternehmen müssten nun massiv Systeme und Knowhow aufrüsten, was für viele sehr teuer werde.
In einem ersten Schritt hat das BSI auf seiner Website einen Fragenkatalog veröffentlicht. Damit sollen Unternehmen prüfen können, ob sie von dem neuen Regelwerk betroffen wären. Was sie dann aber im Einzelnen für ausreichende IT-Sicherheit machen müssen und vor allem wie sie das umsetzen können, steht dort nicht.